個人情報保護方針（Spark Webサイト）

最終更新日：2024年8月5日

当社はSpark Mail Limited（以下「当社」）であり、利用規約に基づいてユーザーにサービスを提供します。 本Webサイト（以下「Webサイト」または「Spark」）では、iOS、macOS、Windows、Android向けのメールアプリケーションであるSparkアプリの詳細について知るために、（任意にまたは要求に応じて）ユーザーの個人情報の一部が保存される場合があります。 なお、Sparkのアプリケーションには、専用の個人情報保護方針が適用されます。

当社は、ユーザーが自身のプライバシーを重視していることを理解しており、ユーザーからの信頼を大切にしています。 ユーザーの信頼に応えるため、当社は最新のデータセキュリティ基準を継続的に適用し、プライバシーに関する意識を向上させ、EU一般データ保護規則（以下「GDPR」）およびその他のプライバシーに関する法律を遵守しています。

この個人情報保護方針は、当Webサイトがユーザーからどのような個人情報を収集し、どのように保管および処理するかについて説明するものです。

当社は、当社のWebサイトおよびサービスを提供し、改善するために必要な範囲を超える個人情報の収集、追跡、保存は行いません。

免責事項！ 本個人情報保護方針は、当社Webサイトとユーザーのやり取りを対象としています。 Spark Mail Appの詳しい情報や、Spark Mail Appがユーザーの個人情報をどのように処理するかについて知りたい場合は、Spark Mail Appの個人情報保護方針をお読みください。

当社の宣言

• 当社は、法的根拠がある場合にのみ、ユーザーのデータを収集し、使用します。
• 当社は、常に透明性を保ち、ユーザーの情報をどのように使用するかについて、ユーザーに説明します。
• 当社は、特定の目的のためにユーザーのデータを収集する場合、他の法的根拠が適用されるか、目的が適合する（GDPR（EU一般データ保護規則）の意味において）場合を除き、ユーザーの同意なしに他の目的に使用することはありません。
• 当社は、ユーザーのデータを販売しません。
• 当社は、当社のサービスを提供する目的で必要な場合を除き、追加データの提供を求めません。
• 当社は、データ保管方針を遵守し、その保管期間の終了時にユーザーの情報が安全に消去されることを保証します。
• 当社は、プライバシー問題に関連するクエリが迅速かつ透過的に処理されるようにすることにより、ユーザーの権利を遵守し、尊重します。
• 当社は、当社の従業員に対し、プライバシーおよびセキュリティの義務に関する研修を実施します。
• 当社は、データがどこに保管されているかにかかわらず、ユーザーのデータを保護するために適切な技術的および組織的措置を講じることを保証します。
• 当社は、当社のすべてのデータ処理業者が、当社のコミットメントを遵守することを義務づける契約条項とともに、適切なセキュリティ対策を備えていることを保証します。
• 当社は、ユーザーの個人データを処理するために必要な場合、ユーザーの同意を得ます（例えば、クッキーの使用）。また、個人データが他の国に転送される前に適切な保護措置が実施されていることを保証します。

目次

• 当社の宣言
• ユーザーの定義
• データ管理者（およびDPO）について
• 適用範囲について
• 個人情報：一般
• 個人情報：Webサイト
  • Webサイトのオペレーション
  • 支払いに関するデータ
  • ユーザーのヘルプリクエストの調査
  • ログ
  • 分析および統計データ
  • ピクセル、ビーコン、リンク、クッキー
  • マーケティングおよび製品のアップデート
  • フィードバック
• 当社が使用する分析ツール
  • Crazyegg
  • Googleアナリティクス
  • Amplitude
  • その他のトラッキングメカニズム
• 保管期間
• 第三者へのデータ提供
• 欧州経済地域外へのデータ転送
• セキュリティ措置
  • HTTPSと暗号化
  • 当社におけるセキュリティ措置（詳細）
• 個人情報保護に関するユーザーの権利
  • EUにおけるプライバシー保護
  • 米国におけるプライバシー保護
• 個人情報保護方針の改定

ユーザーの定義

Webサイトを利用することにより、お客様は「ユーザー」のカテゴリーに入ることになります。 ユーザーとは、Webサイトを利用するすべての自然人のことを指します。

当社がWebサイトで収集したユーザーに関する個人データは、ユーザーが所有し、管理します。 ユーザーは、特定の情報を提供しないことを選択したり、情報を無効にして当社が収集、保存、処理するのを防いだりすることができます。

この場合、Webサイトの一部の機能を利用できない可能性がありますので、ご注意ください。

データ管理者（DPO）の連絡先

当社は、当社のユーザーの個人データの管理者です。 これは、当社がユーザーの個人データの処理内容、目的、および処理方法を決定することを意味します。

法人名： Spark Mail Limited
所在地： Grand Canal House, 1 Grand Canal Street Upper, Dublin 4, D04 Y7R5, Ireland

外部データ保護責任者：Privacity GmbH

住所：Neuer Wall 50, 20354 Hamburg, Germany

メールアドレス：dpo@sparkmailapp.com

特にセンシティブなご要望がある場合は、当社または当社のデータ保護担当者に、上記記載の住所まで郵便でご連絡ください。

適用範囲について

本方針は、当社のWebサイトに適用されます。

個人情報：一般

このセクションでは、Webサイトのさまざまな機能で個人データを処理するための当社のアプローチと実践について説明します。 当社は、表やグラフを使用して、情報を構造化し、理解しやすい方法で提示します。

当社は、技術的データとユーザーが当社に提供する個人データの2つのカテゴリーのデータを処理します。

当社は、以下の法的根拠に基づいて個人データを処理することができます。

• テクニカルサポートやカスタマーサポートなど、利用規約に記載されたサービス提供など、契約の厳密な履行に必要な処理のため。
• ユーザーにとって合理的であり、サービスの開発に必要な処理を実施し、当社の正当な利益のため。
• 適用される法律で要求される、または法執行機関、裁判所、監督機関、その他の公的機関から要求されるデータ処理の法的義務を全うするため。
• 特定の目的のための追加的な処理に対して、ユーザーの同意を取得するため。

同意の例：
メールによるアップデート情報の受信に同意する

年齢制限

当社は、16歳未満のユーザーからのデータを、法的代理人の同意なしに意図的に処理することはありません。 本制限に該当するユーザーまたは当該ユーザーの法的代理人である場合、dpo@sparkmailapp.comまでメールでお知らせください。

個人情報：Webサイト

当社は、ユーザーがWebサイトを利用する際に、本個人情報保護方針に従って、ユーザーの個人データを収集します。

Webサイトのオペレーション

当社は、当社のWebサイトを運用、維持、改善するために技術データを必要とします。 これには以下が含まれます。

• ブラウザ情報：ブラウザの種類、言語設定、国およびタイムゾーン。
• クッキーまたはウェブビーコン情報：クッキーIDおよび設定、ならびにクッキー、ウェブビーコンまたはピクセルタグを通じて受領するその他の個人情報。
• デバイス情報：デバイスの種類、ハードウェアモデル、オペレーティングシステム。
• 識別情報：IDFA（iOSの場合）、MACアドレス、UserIDなどの一意の識別子。
• ネットワーク情報：IPアドレス、モバイルネットワーク情報。
• プリファレンス：例えば、言語設定や興味。
• 位置情報：ユーザーの地理的位置に関するデータ。 ユーザーのデバイスに基づく正確なGPS位置情報を使用する場合、当社は、ユーザーの同意を得た後にのみ使用することを確認します。
• サービス利用：ユーザーが当社のWebサイトとどのようなやり取りを行ったのかに関する情報。

支払いに関するデータ

ユーザーは、本Webサイト上で当社のサービスおよび製品に対して支払いを行うことができます。 支払いを行うには、支払い処理業者（Stripe）のウェブページに移動し、支払い処理業者は支払い業務を遂行するためにユーザーの個人データを提供することになります。 当社は、ユーザーの機密性の高い支払いデータにアクセスすることはありません（ユーザーのクレジットカードデータは、直接Stripeに渡され、当社のサーバーを通過することはありません）ので、Stripeのプライバシーポリシーを読み、ユーザーのデータの取り扱いについてご確認ください。 当社では、ユーザーのメールアドレスや、支払い識別子、タイムスタンプ、購読期間など、支払い状況、購入されたサービスや製品について説明するその他のデータを保持することがあります。

ユーザーのヘルプリクエストの調査

ユーザーがヘルプリクエストを送信すると、ヘルプセンター（またはSpark Classicのヘルプセンター）に転送されます。 また、ウェブサイトのサポートチャットまたは専用フォームに必要事項をご記入の上、ヘルプリクエストを送信することもできます。 ヘルプリクエストの内容に応じて、当社は、ユーザーの氏名、メールアドレス、製品バージョン、サブスクリプションの種類、ケースの説明、メッセージおよびコマンドのテキスト、ユーザーID（チャットでユーザーのリクエストに回答するためにのみランダムに割り当てられる番号で、ユーザーが共有しない限り、ユーザーの氏名やメールにリンクされません）、ユーザーが当社製品を使用するデバイスの種類、技術データ（オペレーティングシステム、ブラウザのバージョンおよび言語、デバイスがサポートチャットにアクセスするIPアドレス、デバイスが所在する国および都市、タイムゾーンなど）、ナビゲーションデータ（接続数、セッション時間、最後に見たセッションなど）を処理します、ブラウザのバージョンと言語、デバイスがサポートチャットにアクセスする際のIPアドレス、デバイスが所在する国、都市、タイムゾーンなど）、ナビゲーションデータ（訪問回数、セッションの継続時間、最初に見たページ、最後に見たページ、当社ウェブサイトの履歴、訪問日など）、およびサポートリクエストまたは添付ファイル（ログなど）でユーザーが提供する可能性のある追加情報、ユーザーがアップロード、添付、または作成するコンテンツには、ユーザーおよびその他のあらゆる種類の個人情報が含まれます（このようなコンテンツには、ファイル名、サイズ、ファイルタイプが含まれる場合があります）。 当社は、ユーザーが当社の利用規約に同意した際に締結した契約に基づく当社の義務の一部として、問題を調査します。 当社は、ユーザーがサポートチームへのチケットを作成していない場合、サポートチャット内のデータを、会話の終了後から最長1年間保存します。当社は、このデータを数年間、ただし6年間を超えない期間（アイルランドの一般的な消滅時効が定める期間）に保持および処理する場合があり、問題の調査と調査結果の通知、または製品開発チームへの製品強化提案の準備以外の目的でお客様のデータを使用することはありません。 ユーザーの個人データがどのように処理されるかについては、ナレッジベースソリューションHelpjuiceのプライバシーポリシー、ヘルプデスクソフトウェアプロバイダーHelpSpotのプライバシーポリシー、フォームおよびサービスソリューションTypeformのプライバシーポリシー、チャットサービスプロバイダーIntercomの製品プライバシー通知もご覧ください。 

機能追加の要望

「機能の提案」フォームから製品改善のご提案をいただいた場合、ユーザーのメールアドレス、ご利用の端末の種類、お名前（ご入力いただいた場合）、およびフォームに入力されたその他の情報を処理いたします。 このデータの処理は、ユーザーの同意に基づいて行われます。 ユーザーの提案を詳細に分析するために、IPアドレスと所在国を自動的に収集します。 これは、弊社にとって正当な利益となります。 さらに、フォーム送信ごとに固有の識別子（トークン）を割り当て、送信日時を収集いたします。

ユーザーの提案は、Typeformを使用して収集し、Googleスプレッドシートでさらに処理されます。 ユーザーの個人データの処理方法の詳細については、TypeformのプライバシーポリシーとGoogleのプライバシーポリシーをご参照ください。

ユーザーのデータは、製品開発チーム向けの提案書作成に使用され、詳細をお伺いする場合や、ユーザーの提案から実装された機能をお知らせする場合には、メールアドレスとお名前を使用させていただくことがあります（必要な場合）。 データは数年間保持および処理されますが、アイルランドの一般訴訟時効（6年）を超えて保持することはなく、本セクションに記載されている目的以外には使用されません。

ログ

当社は、ユーザーの個人情報に対する詐欺行為や不正アクセスの可能性を防止し、Webサイトの技術的な可用性とセキュリティを確保するために、この情報を収集します。 本Webサイトをホストするサーバは、ユーザーのデバイスがサーバーに行うリクエスト、ユーザーが使用するデバイスおよびブラウザに関する詳細、ユーザーのIPアドレス、アクセス日時、都市および国、オペレーティングシステム、ブラウザタイプ、モバイルネットワーク情報を記録することがあります。 このデータは、技術的な目的、すなわち、ウェブサイトの適切な機能とセキュリティを確保し、起こりうるセキュリティ事故を調査する目的でのみ使用されます。 ユーザーのデバイスにもログが含まれることがありますが、その範囲と保存期間は、ユーザーのデバイスの製造元によって異なります。

分析および統計データ

一般的なアプリの使用パターンをよりよく理解し、Webサイトとそのユーザー体験を向上させるために、SparkはWebサイトの使用に関する一般的な統計情報を収集することがあります。 このようなデータの収集は、将来のアップデートにおけるWebサイトの最適化に役立ちます。このような使用は、ユーザーの権利と自由には影響せず、ユーザー自身やユーザーの連絡先の個人データを開示するものではありません。 当社は、ユーザーのデバイスに関する情報（モデル、シリーズ、メーカー、OSアップデート、画面パラメータ、インターネット接続データなど）、アプリのバージョン、iOSバージョン情報、非精密位置情報（国など）、クッキーおよびその他のウェブ追跡技術を収集して、どのWebページがお客様にとって最も有用で、どのページを追加または削除すべきかを理解することができます。 当社は通常、このようなデータを可能な限り仮名化または匿名化して処理し、その処理はユーザーの同意、法的義務、または当社の正当な利益のいずれかに基づいて行われます。 当社が契約する分析および統計の下請け業者に関する詳細は、本ポリシーの当社が使用する分析ツールセクションでご覧いただけます。

ピクセル、ビーコン、リンク、クッキー

これらの技術は、当社がWebサイトを管理し、マーケティングキャンペーンの効率を測定するために必要なものです。 クッキーや類似の技術により、当社はユーザーを訪問者として識別し、言語などの設定や好みを記憶し、Webサイトを安全かつセキュアに保ち、マーケティングメールの統計を収集し、ユーザーにとってより興味深い資料やオファーを作成することができます。 クッキーは、ユーザーのデバイスに保存されます（クッキーを削除するには、ブラウザのキャッシュをクリアしてください。クッキーの削除方法については、ブラウザのヘルプセンターまたは設定にアクセスしてください）。 ただし、クッキーを削除すると、Webサイトの閲覧環境が悪化したり、Webサイトの機能の一部が使用できなくなったりすることがあります。 メールピクセルは、メールサービスプロバイダの設定で無効にすることができます。 また、メール受信者が送信したメールのリンクをクリックしたかどうかに関する統計情報を収集することがあります。 クッキーおよびその他の技術について詳しくは、クッキーポリシーをご覧ください。

マーケティングおよび製品のアップデート

当社は、当社の新機能や製品、Webサイトやアプリに実装された変更（個人情報保護方針や利用規約の更新を含む）、およびユーザーが参加できる特別キャンペーンをお知らせするために、ユーザーの個人データの一部（メールアドレスやお客様の名前など）を使用する場合があります。 また、ユーザーのIPアドレスやクッキーIDなどの一部のデータを使用して、メールキャンペーンの効果を測定することがあります（リンクのクリック数、ユニークビジター数、繰り返し訪問数など）。 マーケティングメッセージは、ユーザーの同意（マーケティング）または当社の正当な利益（稀なマーケティングメールや製品の最新情報）に基づいて送信されます。 重要なこととして、当社は個人データを他の第三者（当社の関連会社および下請業者を除く）に販売したり、他の第三者と共有したりすることは決してありません。

フィードバック

当社は、当社Webサイト、本アプリまたはその他の方法で、当社アプリの利用体験に関するお客様のフィードバック、レビューおよびコメント（以下総称「フィードバック」）を公開する場合があります。 これには、お客様が当社に直接、またはオンライン配信プラットフォーム、マーケットプレイス、ソーシャルメディアを含むがこれらに限定されないあらゆるプラットフォームを通じて提供するフィードバックが含まれます。 当社は、お客様の姓名、ユーザー名、フィードバックの本文、および/またはフィードバックに含まれる、またはフィードバックに関連するその他の情報を含む、お客様のフィードバックの個人データを処理します。 当社は、フィードバックにおいて、16歳未満の児童の個人データおよび/または機微な種類のデータを処理しません。 GDPRに準拠し、当社は、お客様のフィードバックが第三者のプラットフォーム（オンライン配信プラットフォーム、マーケットプレイス、ソーシャルメディアなど）から収集された場合、フィードバックに含まれる個人データを処理する法的根拠として当社の正当な利益に依拠し、お客様が当社に直接提供したフィードバックを公開するためにお客様の同意を求めます。 当社は、本アプリの機能や特徴を実証し、本アプリの実際のユーザー体験を共有し、潜在的な顧客を獲得するために、お客様のフィードバックを使用します。 お客様のフィードバックに関する詳細については、当社の利用規約のフィードバックに記載されています。

当社が使用する分析ツール

本Webサイトでは、いくつかの分析ツールを使用しているため、クッキーを使用しています（当社のクッキーポリシーに規定されています）。 クッキーを無効にしたい場合は、以下のリンクからブラウザの設定を変更することができます。

• Internet Explorer
• Microsoft Edge
• Firefox
• Chrome
• Safari
• Opera
• Vivaldi
  

Crazyegg

当社は、どのWebページが人気があり、他のWebページよりも注目を集めているか、匿名のユーザーがどのくらいの時間Webページに滞在しているか、A/B実験などを行うためにCrazyeggのツールを使用しています。

Crazyeggはヒートマップを収集し、ウェブサイトとアプリを最適化し、ユーザーに効率的でスムーズな体験を提供するために役立てています。

Crazyeggが記録または分析する可能性のあるインタラクションには、マウスのスクロールやクリック、ユーザーが入力したキーストローク、ユーザーが閲覧または訪問したページ（その訪問時間を含む）が含まれる場合があります。

当社はこの情報を、匿名化された集計レポートおよび/または統計の形で受け取ります。 Crazyeggの個人情報保護方針については、同社のプライバシーポリシーでご覧いただけます。

Googleアナリティクス

本Webサイトでは、Google, Inc.（以下、「Google」）が提供するWeb解析サービス「Googleアナリティクス」を利用しています。 Googleアナリティクスは、ユーザーのコンピュータに置かれるテキストファイルである「クッキー」を使用して、ユーザーのWebサイト利用状況を分析するのに役立ちます。 クッキーによって生成されたユーザーのウェブサイトの使用に関する情報は、通常、米国内のサーバーに送信され、Googleによって保存されます。

本WebサイトでIPアドレスの匿名化が有効になっている場合、ユーザーのIPアドレスは、欧州連合加盟国または欧州経済領域協定の他の締約国の領域内で省略されます。 例外的に、IPアドレス全体がまず米国内のGoogleのサーバーに転送され、そこで省略されることがあります。 GoogleはSparkに代わって、ユーザーのWebサイト利用の評価、Webサイト活動に関するレポートの作成、Webサイト活動やインターネット利用に関するSparkのためのその他のサービスを提供する目的で、この情報を使用します。 Google アナリティクスの範囲内でユーザーのブラウザが転送するIPアドレスは、Googleが保有する他のデータと関連付けられることはありません。

ユーザーは、ブラウザの適切な設定を選択することにより、クッキーの使用を拒否することができますが、その場合、本Webサイトのすべての機能を利用できない可能性がありますので、ご注意ください。 また、このリンクから入手できるGoogleアナリティクスのオプトアウトブラウザアドオンをダウンロードしてインストールすることにより、クッキーによって作成されたWebサイトの使用に関連するデータ（ユーザーのIPアドレスを含む）のGoogleによる保存およびそのデータの処理からオプトアウトすることも可能です。 ブラウザアドオンの代わりとして、またはモバイルデバイスのブラウザ内で、このリンクをクリックすると、今後このWebサイト内でGoogleアナリティクスによる追跡を拒否することができます（この拒否オプションは、ユーザーが設定したブラウザとこのWebサイトのみに適用されます）。 この場合、オプトアウトクッキーがユーザーのデバイスに保存されます。 クッキーを削除する場合は、前述のリンクを再度使用する必要があります。

Googleアナリティクスに関する詳細は、Googleアナリティクスの利用規約、Googleのデータ保護方針、Googleのプライバシーポリシーをご参照ください。

Amplitude

当社製品の一般的な使用パターンをより良く理解するために、当社はAmplitude, Inc（501 2nd Street, San Francisco, CA 94107）のAmplitudeという第三者ツールを使用しています（そのプライバシーポリシーはこちらをご覧ください）。

Amplitudeは分析ソフトウェアツールであり、当社製品の使用に関する統計的パターンを提供することで、当社のサービスの向上に役立ちます。 このツールは、ユーザーやユーザーのオンライン行動に関する追加の個人データを当社に提供するものではありません。

その他のトラッキングメカニズム

MailChimpやCampaignMonitorなどの第三者サービスを通じて当社が送信した電子メールメッセージには、当社の通信の配達および開封率に関する統計情報を収集するためのトラッキングピクセルが含まれている場合があります。 これらのピクセルは、ユーザーやユーザーのオンライン行動に関する追加の個人データを当社に提供するものではありません。 ユーザーは、メールクライアントで画像のレンダリングを無効にすることができ、この機能を無効にすることができますが、他の受信メール内の画像を見ることができなくなります。

保管期間

当社は、ユーザーの個人データを、Webサイトの最後の利用から12ヶ月間保存します。 ただし、ユーザーが当社に直接提供されたフィードバックは5年間、第三者プラットフォームから収集されたフィードバックは2年間保存されます。 同時に、当社は、単独の裁量により、いつでもユーザーのフィードバックを削除する権利を留保します。 ユーザーは、support@sparkmailapp.com宛に連絡することで、ユーザーのフィードバックの使用を控える、または使用を中止するよう要請することができます。

上記期間終了後、当社はデータを匿名化し、統計・分析目的のために保存します。

当社は、サービスの提供中、または保存期間中（上記に定義）、あるいはユーザーが同意を撤回するまで、ユーザーの同意に基づき個人データを処理します。

ユーザーが権利を行使したい場合は、当社のデータ保護担当者にメール（dpo@sparkmailapp.com）でご連絡ください。 クッキーのオプトアウト（またはクッキーによるユーザーデータの処理に対する同意の撤回）については、当社のクッキーポリシーをお読みください。

第三者へのデータ提供

当社は、サービスの提供およびユーザーとのコミュニケーションのために、契約の履行に基づき、ユーザーの個人データを利用します。

当社は、Sparkの製品開発およびカスタマーサポートを提供するために必要な範囲で、当社の関連会社と個人データを共有する場合があります。 当社は、サービス、テクニカルおよびカスタマーサポートを提供するために必要な範囲で、ユーザーの個人データを当社の請負業者と共有します。 さらに、当社は、同意、法律（または法的義務）の遵守、および正当な利益という理由に基づき、ユーザーのデータを共有することができます。

ここでは、第三者とのデータ共有の法的根拠に関する詳細情報を説明します。

同意： 当社は、ユーザーの明示的な同意に基づき、個人データを第三者と共有します。

法令の遵守： 当社は、必要な範囲で、ユーザーの個人データを第三者に開示します。

• 政府の要請、裁判所の命令、または適用される法令に遵守するため。
• Webサイトの違法な利用または利用規約や当社の方針に違反する行為を防止するため。
• 第三者からのクレームから当社の利益を保護するため。
• 不正行為の防止またはその調査に協力するため。

正当な利益または契約の履行：当社は、ユーザーの個人データを保護するための技術的および組織的措置を講じた上で、当社に代わって処理を行うための公募に基づき、ユーザーの個人データを第三者と共有することがあります。 当社は、当社に代わって特定のサービスを提供するために雇用された特定の企業、コンサルタント、および請負業者にユーザーの個人データを転送することがあります。

当社のサービスおよびユーザーとのやりとりを最適化するために、当社は、当社の第三者サービスプロバイダーが管理するクラウド技術を使用して、ユーザーの個人データの一部を保存する場合があります。

当社は、それらの第三者サービスプロバイダーと契約を締結し、当社の法的・倫理的義務に合致した方法で運営・行動することを求めています。

また、当社は、第三者のサービス・プロバイダーと共有する個人データの機密性及びセキュリティを保護するために、技術的及び組織的な措置を採用しています。

当社の業務の特殊性から、当社は、当社に代わって機能を果たす当社の第三者サービス・プロバイダーとユーザーの情報を共有することがあります。 これらの第三者サービス・プロバイダーには、以下のものが含まれます。

• 当社の専門アドバイザー（法律専門家、会計士、情報セキュリティ専門家など）。
• 特定のサポートサービスを提供するサプライヤー（文書作成、翻訳、分析など）。
• 当社のためにWebサイトを管理・維持し、当社にシステムを提供するITサービスプロバイダー（ソフトウェアエンジニア、ウェブサイト保守エンジニア、マーケティング専門家、ホスティングインフラ、登録・認証サービス、支払処理業者、インフラ監視サービスなど）。

当社は、ユーザーがメールアドレスを送信するために使用するWebサイトのフォームを、有害なボット活動（例えば、同意なしに第三者を当社のニュースレターに登録すること）から保護するために、Google reCAPTCHA（米国、Google LLC）を使用しています。 詳細については、Googleのプライバシーポリシーをご参照ください。

データの転送が契約履行の一部である場合を除き、当社はユーザーの同意を求めます。

欧州経済地域外へのデータ転送

当社が収集する個人データは、米国内のサーバーに保管されます。 通常、データは米国に保管されますが、ユーザーの個人データが他の国で処理されることがあります。 また、アイルランドと米国以外の国にある当社のサービスプロバイダーと、技術的および組織的な対策に従って、一部のデータを共有する場合があります。

欧州委員会は、米国（EU-USデータ・プライバシー・フレームワークに参加している商業組織）が適切なデータ保護を担保していることを認証しています。 さらに、Google LLCとその米国子会社（明示的に除外されている場合を除く）は、DPF原則を遵守していることを証明しています。

ウクライナにおけるユーザーのデータ保管ついて、欧州委員会による適切な決定がなされていません。 当社は、転送および保管中のデータ保護について、法令評価に基づき採択された標準契約条項を使用しています。

本方針で、ユーザーの個人データを保護するためのより詳細な対策を読むことができます。 当社がユーザーの個人情報を保護するためにとっている措置の詳細は、こちらでご覧いただけます。 ユーザーが当社のサービスのいずれかを通じて個人データをアップロード、送信または作成する場合、ユーザーはdpo@sparkmailapp.comにメールを送信することにより、詳細を求めることができます。

ただし、契約の履行またはユーザーへのサービス提供のためにデータ転送が必要な場合、当社はユーザーの同意なしにデータ転送を行う権利を有します。

セキュリティ措置

当社では、定期的にデータ保護影響評価を実施し、偶発的または違法な破壊、損失、改ざん、不正な開示、あるいは送信、保存、またはその他の処理を行った個人データへのアクセスを防ぐために、適切なレベルの技術的および組織的対策を講じています。 また、ISO27001に基づき、セキュリティ管理を徹底しています。

具体的には、ユーザーの個人データを保護するために、HTTPS、暗号化、グループと個人アクセスの分離、アラームシステム、コーポレートVPN、内部プロセス（パスワードポリシーや物理的アクセスポリシーなど）の文書化を採用しています。

さらに、当社が採用しているテクノロジーの状態をシステム的に監視し、アップデートとバックアップを欠かさないようにしています。 当社のすべての請負業者は、GDPRの要件に準拠した契約上の義務を負っています。

以下では、上記で述べた内容の詳細をご覧いただけます。

HTTPSと暗号化

当社は、すべての通信をHTTPSで保護し、第三者がユーザーのデータにアクセスできないようにしています。 ユーザーのメールや アカウント情報は、対称型および非対称型の暗号化方式（秘密鍵および公開鍵）を用いて、安全なクラウドベースサーバーに保存されます。

当社は現在、Google（以下「ホスティングプロバイダー」）を使用しています。 ホスティングプロバイダーは、ユーザーのデータの安全性を保証する様々な国際的なセキュリティ証明書を取得しています。

当社におけるセキュリティ措置（詳細）：

1. 物理的アクセスコントロール：グループアクセス及びアラームシステム

IDカードによる入退室管理を行い、許可された人だけが施設にアクセスできるようにしています。 IDカードは個別にブロックすることができ、施設への入退出が記録されます。

施設にはアラームシステムを設置し、不審者の侵入を防止しています。 アラームシステムは、ドアのロック機構と連動しています。

2. システムアクセス制御：個人アクセス及びパスワードポリシー

当社の従業員は、それぞれの従業員アクセスを通じてのみ、社内のシステムおよびサービスにアクセスすることができます。 アクセス権は、各従業員またはチームの責任範囲内に限定されます。

パスワードポリシー： 当社は、パスワードの手続きと、少なくとも4096ビットの長さのSSHキーの使用によって、システムへのアクセスを制限しています。 SSHキーは、関連システムへのパスワードベースのアクセスを無効にするため、弱いパスワードを対象とする攻撃に対する対策となっています。

さらに、パスワードの作成に関するルールも設けています。 これにより、パスワードベースのアクセスを提供するシステムにおいても、高いセキュリティを確保しています。

パスワードポリシーにより、 従業員のパスワードは少なくとも次のようなものでなければなりません：

• 12文字以上であること
• 1文字以上の大文字
• 1文字以上の小文字
• 1文字以上の数字
• 1文字以上の記号

当社のシステムは、デフォルトですべての外部接続を拒否するファイアウォールによって保護されています。 例外により、定義された接続タイプのみ受け付けます。

3. データアクセス制御：監視と物理的なアクセスポリシー

すべてのサーバーとサービスは、継続的な監視の対象となっています。 これには、ユーザーインターフェースにおける個人アクセスのログも含まれます。

また、当社の社員が近くにいるため、いつでも目視による検査が可能となっています。

従業員が退席した場合、ロックやログオフが規定されており、これが実践されています。

4. 転送制御：コーポレートVPNの利用義務

データを転送する前に、データ処理およびデータ転送契約（該当する場合）において、組織およびセキュリティの要件を規定しています。 これらの契約は、すべての企業およびデータ処理者である当社に対して義務付けられています。

また、USBメモリなどのローカルデータ保存デバイスの取り扱いは、契約によって規定されています。

社内ネットワークの外部からのシステムへのアクセスは、安全なVPNアクセスを経由している場合のみに許可されています。

5. 入力制御：一般的な制限

当社の従業員は、データベースレベルで直接作業するのではなく、アプリケーションを使用してデータにアクセスします。

システム部の従業員は、個別にシステムにアクセスし、共通のログイン処理を使用します。

6. 可用性コントロール：バックアップと分割

データの可用性は、いくつかの方法で確保しています。 例えば、システム全体の定期的なバックアップを行っています。 これにより、他の可用性対策が失敗した場合にデータを復元することができます。

クリティカルなサービスは、複数のデータセンターで冗長運用されており、高可用性システムによって制御されています。

従業員のワークステーションも標準の対策で保護されています。 例えば、ウィルス対策ソフトウェアが導入されており、ノートパソコンは暗号化されています。

当社では、従業員のデバイスをセキュリティ設定で保護するためにMDMソリューションを利用しています。

7. 分離制御：アクセス制限

論理的に分離されたデータベースを使用し、権限のない担当者が誤ってアクセス制限のあるデータを読み取ることがないようにしています。

また、従業員はアクセス制御を行うサービス（アプリケーション）を利用するため、データ自体へのアクセスが制限されています。

個人情報保護に関するユーザーの権利

EUにおけるプライバシー保護

ユーザーは、個人データの主体として、以下の権利を有しています：

ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。

また、ユーザーは、データ保護委員会（DPC）規制機関に、21 Fitzwilliam Square, South, Dublin 2, D02 RD28, Irelandに書面を送付するか、Webフォームを使用して苦情を申し立てる権利を有しています。

米国におけるプライバシー保護

ユーザーは、個人データの主体として、いくつかの特定のプライバシー権を有しています。 ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。

ユーザーの権利は、ユーザーに適用される法律により異なりますが、以下のものが含まれます。

• 当社が収集および処理するユーザーの個人データについて通知を受ける権利。
• 当社が処理するユーザーの個人データの入手先を知る権利。
• ユーザーに関する個人データにアクセスし、変更し、修正する権利。
• 当社がユーザーの個人データを誰と、どのような目的で、どのような個人データを共有したかを知る権利（個人データが第三者のダイレクトマーケティングのために開示されたかどうかを含む）。
• 個人データの処理がユーザーの同意に基づいて行われる場合、ユーザーの同意を取り消す権利。
• ユーザーの居住地、勤務地、または法律違反の疑いがある場所の管轄区域にある監督機関に苦情を申し立てる権利。

州別のプライバシーデータ保護法に関する詳細については、以下をご覧ください。

上記権利の概要説明：

1. 情報にアクセスする権利。 ユーザーは、ユーザーの個人データの処理について、具体的にどのようなデータをどのように処理するのか、説明を求めることができます。
2. 同意を撤回する権利。 ユーザーは、当社に対して一度同意を与えた後、いかなる場合においても、その同意を取り消すことができます。
3. ポータビリティの権利。 ユーザーは、当社に提供したすべてのデータを要求し、機械で読み取り可能な形式で第三者の管理者にデータを転送するよう要求することができます。
4. 苦情を申し立てる権利。 ユーザーの要請が満たされない場合、ユーザーは規制当局に苦情を申し立てることができます。 先に当社にご連絡いただいた場合、ユーザーの要望に添えるよう最善の対応を取らせていただきます。
5. 消去する権利。 ユーザーは、当社のシステムからユーザーの個人データを消去するよう、当社に要請することができます。

州の法令により異なりますが、当社はユーザーの要請を行使するために30日から60日、そして、さらに30日の権利を有します。

個人情報保護方針の改定

本個人情報保護方針およびその効果に該当する関係は、GDPRに準拠するものです。 個人データの処理に関する既存の法律および要件は、変更される場合があります。 この場合、当社は個人情報保護方針の新版を当社Webサイトに掲載します。 本個人情報保護方針および（または）Webサイトに、ユーザーのプライバシーと機密保持に影響を与える重大な変更が加えられた場合、当社はメールで通知するか、Webサイトに情報を表示し、必要に応じてユーザーの同意を求めます。

定義

ここでは、個人情報保護方針で使用される用語の定義をご覧いただけます。

「Spark」、「Spark Mail」、「当社」、「当社の」、「わたしたち」は、Spark Mailウェブサイトを維持・運営を運営するアイルランドに本拠を置くテクノロジー企業であるSpark Mail Limitedを指します。

「管理者」または「データ管理者」は、単独で、または他の者と共同で、あるいは共同して、あらゆる個人データを処理する目的および方法を決定する自然人または法人を指します。 CCPAでは、「事業者」という用語は、同様の機能を果たす者を指します。

「データ保護責任者」または「DPO」は、GDPRおよびその他のデータ保護法を遵守するためにSpark Mail Limitedが指定し、ユーザーの個人データの権利を保護するために配置された従業員または委託先です。 DPOのお問い合わせ先は、dpo@sparkmailapp.comです。

「データ主体」は、 Sparkが個人データを保有する自然人（識別された、または識別可能な自然人）を指します。

「GDPR」は、欧州連合（EU）の一般データ保護規則を指します。

「個人データ」は、氏名、姓、電子メール、位置情報など、ユーザーに関連し、ユーザーを直接的または間接的に特定するのに役立つあらゆる情報を指します。

「処理」は、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整合または結合、制限、消去または破壊などの操作または一連の操作を指します。

「処理者」または「データ処理者」は、データ管理者に代わって個人データを処理する自然人または法人を指します。 CCPAでは、事業者の指示の下にデータ処理の一部を別の者に委託する場合、「サービス提供者」という用語を使用することができます。

「サービス」または「Spark Mail Services（大文字か小文字かを問わず）」は、Spark Mail WebサイトおよびSpark Mailアプリの使用を通じて、一緒にまたは別々に利用できる機能（通常機能またはPremium機能）を指します。

「代理処理業者」は、ユーザーの個人データを処理するために当社が指名した当社以外の者を指します。 代理処理業者は、当社が見ることのできるデータ以上のものを見ることはできません（ユーザーがSpark Mail Webサイトの外で代理処理業者に個人データを提供しない限り）。 例としては、当社のデータホスティングプロバイダーや支払い処理業者が挙げられます。

「監督当局」は、GDPRに基づく現地の規制当局を指します。当社がユーザーのデータを適切に保護することを確認する職務を担っています。